物聯(lián)網(wǎng)已經(jīng)吸引了國家高層的注意,他們正越發(fā)關(guān)注物聯(lián)網(wǎng)連接設(shè)備的安全性的悲慘狀態(tài),Mirai惡意軟件在僵尸網(wǎng)絡(luò)上擴(kuò)散時演示了此狀態(tài)。確實(shí),物聯(lián)網(wǎng)設(shè)備缺乏安全性預(yù)示著一個勇敢的新世界。
隨著物聯(lián)網(wǎng)顯示數(shù)以百萬的連接設(shè)備,每個節(jié)點(diǎn)聚集和存儲自己的個體數(shù)據(jù)采集,并通過無線通信技術(shù)經(jīng)由互聯(lián)網(wǎng)和云與其他互聯(lián)設(shè)備共享信息。通過感染一個設(shè)備,獲取對網(wǎng)絡(luò)的非法訪問,一個臭名昭著的演員可以造成大規(guī)模的蓄意破壞。企業(yè)必須快速弄清楚如何注意連接到他們網(wǎng)絡(luò)的物聯(lián)網(wǎng)設(shè)備動向,以及如何保護(hù)往返于這些設(shè)備的數(shù)據(jù)傳送。
挑戰(zhàn)1. 無處不在的智能設(shè)備
智能設(shè)備貌似只是無處不在而已----家、汽車、工作場所----但事實(shí)上,“智能設(shè)備”的理念例證了物聯(lián)網(wǎng)影響力的范圍拓展,不僅在商業(yè)方面也在社會上。一個明顯的例子是,迪拜水電局(DEWA)計(jì)劃到2020年在整座城市安裝超過100萬臺智能表。DEWA的CEO Al Tayer今年8月在企業(yè)創(chuàng)造力實(shí)驗(yàn)室車間里發(fā)表演講,說到“DEWA為建造一個更加智慧的利用整合電子數(shù)據(jù)的迪拜貢獻(xiàn)力量,使其通過IT系統(tǒng)和同步網(wǎng)絡(luò)并運(yùn)用互聯(lián)網(wǎng)和云計(jì)算彼此連接。”
正如DEWA計(jì)劃使用智能表來提高迪拜的城市功能,全世界的企業(yè)正為他們的業(yè)務(wù)做著同樣的事情,通過連接即便是最不希望連接的物聯(lián)網(wǎng)設(shè)備到他們的網(wǎng)絡(luò),譬如智能可穿戴設(shè)備、智能打印機(jī)或智能咖啡機(jī)。隨著無數(shù)物聯(lián)網(wǎng)設(shè)備已經(jīng)出現(xiàn)在市場上,跟蹤每一個連接設(shè)備和它傳輸?shù)臄?shù)據(jù)會成為一項(xiàng)冗長乏味的任務(wù),尤其是因?yàn)槿缃竦脑O(shè)備可以各種方式接入無線網(wǎng)絡(luò)。隨著無線選擇使網(wǎng)絡(luò)連接更簡單更便于人們訪問,包括對關(guān)鍵基礎(chǔ)設(shè)施的遠(yuǎn)程訪問,有線網(wǎng)絡(luò)正變得越來越過時。
物聯(lián)網(wǎng)設(shè)備必須有某種證明,從而幫助企業(yè)確保連入他們網(wǎng)絡(luò)的的物聯(lián)網(wǎng)設(shè)備是可信的,并且它們的用戶證書是已證實(shí)的。在DEWA迪拜未來計(jì)劃的案例里,如果從一個智能表傳輸?shù)洁徑粋€的數(shù)據(jù)被另一個未經(jīng)認(rèn)證的設(shè)備攔截了,會發(fā)生什么?看見DEWA的安全努力展示出來會很有趣,因?yàn)樗赡転槠渌推髽I(yè)提供一個可學(xué)習(xí)效仿的例子。
挑戰(zhàn)2:智能設(shè)備安全
正如Qualcomm執(zhí)行主席Paul Jacobs最近告訴Reuters的,“對于物聯(lián)網(wǎng)來說,保證你有一個保護(hù)和升級設(shè)備的方法是非常重要的。”因此,為什么它沒有在所要求的規(guī)模下發(fā)生呢?
正如我們所見到的,臭名昭著的Mirai僵尸網(wǎng)絡(luò),由全球大約500,000個物聯(lián)網(wǎng)設(shè)備組成,對諸如Twitter 、Reddit 和Netflix 之類限制訪問的主流網(wǎng)站的Dyn網(wǎng)絡(luò)發(fā)動先進(jìn)的DdoS攻擊。在那之后,它影響了利比里亞部分地區(qū)的互聯(lián)網(wǎng)速度和訪問,攻擊者甚至企圖打擊總統(tǒng)候選人Donald Trump和Hillary Clinton的競選網(wǎng)站。
這種類型的侵入已經(jīng)發(fā)生好幾年了。回溯到2008年,一次對1099英里長的土耳其輸油管線的攻擊,被記錄為迄今為止在網(wǎng)絡(luò)戰(zhàn)爭史上意義最重大的事件之一。根據(jù)《Bloomberg News》,攻擊者在發(fā)現(xiàn)攝像頭通信軟件的漏洞后,利用此漏洞獲取了管道油壓的操作控制訪問權(quán)限。從那兒,他們可以在運(yùn)營商無法知曉的情況下操控壓力、使用無線操作系統(tǒng)作為數(shù)字化武器來操縱輸油管,將其變成一個災(zāi)難性的石油炸彈,能使大約“30,000桶油在含水層上的某一區(qū)域噴濺而出”。
這場攻擊的衍生物會是毀滅性的;在土耳其輸油管道的案例中,其結(jié)果“耗費(fèi)BP和它的合作伙伴在管道關(guān)閉期間一天500萬美元的過境關(guān)稅。”
不幸的是,這種類型的攻擊沒有減慢步伐。
隨著數(shù)據(jù)橫穿互聯(lián)設(shè)備的大型網(wǎng)絡(luò),可以做更多的事來保護(hù)數(shù)據(jù),并驗(yàn)證設(shè)備以保護(hù)它們免受未授權(quán)的訪問。
解決:公鑰基礎(chǔ)設(shè)施(PKI)
考慮到當(dāng)前大量的互聯(lián)設(shè)備以預(yù)料中的指數(shù)級增長,物聯(lián)網(wǎng)部署在為每個設(shè)備提供唯一身份方面提出了一項(xiàng)新的挑戰(zhàn)。PKI通過身份驗(yàn)證、加密和數(shù)字簽名解決設(shè)備標(biāo)識和安全。強(qiáng)大的安全性需要為每個物聯(lián)網(wǎng)設(shè)備配備唯一的認(rèn)證信息。PKI提供了一個規(guī)模化的方法來實(shí)現(xiàn),使用密碼可靠的認(rèn)證信息來提供比密碼更好的安全性。還有,PKI解決方案可以被自動化,從而滿足對物聯(lián)網(wǎng)規(guī)模的關(guān)注,對比人們手工操作的傳統(tǒng)設(shè)備訪問控制流程。PKI的新方法包含自定義配置文件和自適應(yīng)的定價模型,從而高效地匹配用戶案例的增長。
PKI密碼地補(bǔ)充身份認(rèn)證管理,賦予企業(yè)監(jiān)控他們的物聯(lián)網(wǎng)設(shè)備并保護(hù)貫穿設(shè)備生命期的數(shù)據(jù)的能力。可擴(kuò)展的認(rèn)證生命周期管理允許設(shè)備身份配置、證書循環(huán)以保持最新的認(rèn)證,并且當(dāng)不再需要某個設(shè)備或設(shè)備的用戶不能有更高級權(quán)限時可以撤銷。如果設(shè)備出現(xiàn)異常表現(xiàn),基于PKI的身份允許企業(yè)識別該設(shè)備,并采取緩解的行動。PKI使物聯(lián)網(wǎng)安全管理更加容易和切實(shí)可行。
結(jié)束語
企業(yè)需要區(qū)分優(yōu)先級,以便互聯(lián)的設(shè)備有很強(qiáng)的身份證明,強(qiáng)驗(yàn)證(無密碼)和加密來保持系統(tǒng)完整性。為了實(shí)現(xiàn)該目標(biāo),必須在設(shè)備開發(fā)和制造時,同時在他們的網(wǎng)絡(luò)部署這些互聯(lián)設(shè)備時思考全面的安全設(shè)計(jì)。最終,用PKI的所有者可控的安全性會成為保衛(wèi)物聯(lián)網(wǎng)安全的最重要的下一步。
京公網(wǎng)安備 11010502049343號